ホーム » バンキングトロジャン

日本を狙うバンキングトロジャン「Cinobi」、不正広告経由で暗号資産サイトなどの認証情報を窃取する手口を解説

今回は特に日本の利用者を狙うバンキングトロジャン（オンライン銀行詐欺ツール）「Cinobi」の最新攻撃手口について報告いたします。Cinobiについては以前2020年4月17日の記事において、弊社が「Operation Overtrap（Overtrap作戦）」と名付けたキャンペーンについての調査結果を報告しておりました。Overtrap作戦では、当時新種として確認された「Cinobi」を利用して日本国内のネットバンキング利用者を狙い攻撃活動が行われていました。このキャンペーンはトレンドマイクロが「Water Kappa」と名付けたサイバー犯罪グループによって実行されたものであり、マルウェアスパムを介してCinobiが拡散されました。またOvertrap作戦では脆弱性攻撃ツールである「Bottleエクスプロイトキット（Bottle EK）」を用いた攻撃でもCinobiが配信されました。Bottle EKは、Microsoft Internet Explorer（IE）が持つスクリプトエンジンのメモリ破損の脆弱性「CVE-2020-1380」およびIEのメモリ破損の脆弱性「CVE-2021-26411」を利用する脆弱性攻撃ツールで、IE利用者を対象に頒布された「不正広告（マルバタイジング）」攻撃に用いられました。トレンドマイクロは2020年から2021年上半期にかけてBottle EKを利用した攻撃活動が限定的となり、2021年6月中旬にはトラフィックが減少していることを確認しました（図1）。これは、Water Kappaグループが新たなツールや攻撃手法に目を向けている可能性を示す変化です。

図1：Water Kappaグループの攻撃活動を示すタイムライン（2021年6月10日～7月9日）

(さらに…)

スペイン・ポルトガル語圏を狙うバンキングトロジャン「MISPADU」の攻撃手口を解説

投稿日:2020年11月6日
脅威カテゴリ:スパムメール, 攻撃手法
執筆:Trend Micro

「MISPADU（ミスパドゥ）」は、ユーザのPCから認証情報を窃取するマルウェアです。「URSA」の別名を持つこのマルウェアは一般的にはオンライン銀行詐欺ツール（バンキングトロジャン）に分類されており、トレンドマイクロでは「TrojanSpy.Win32.MISPADU.THIADBO」として検出します。MISPADUは2019年後半にマルウェアスパムやFacebook上の不正広告などを経由した拡散が報告されました。そして2020年の後半から再度メール経由の拡散活動（スパムキャンペーン）が、マルウェア解析者であるPedro Tavares氏によって発見され、Twitterおよびセキュリティブログ「Segurança Informática」で報告されています。2019年の攻撃ではメキシコやブラジルなどラテンアメリカの国で観測されました。今回2020年の攻撃でも、システム言語にスペイン語またはポルトガル語を使用するPCが標的となっており、メキシコ、スペイン、ポルトガル、その他の近隣地域のユーザを標的にしていると推測されます。

(さらに…)

Androidマルウェア「FakeToken」が国際SMS送信活動に変化

投稿日:2020年2月6日
脅威カテゴリ:不正プログラム, モバイル
執筆:Trend Micro

長期にわたって活動を継続しているマルウェアは、時間と共にその活動内容を変化させていく傾向にあります。2013年前後に登場したAndroid向けバンキングトロジャン「FakeToken（フェイクトークン）」もその1つです。2017年に確認されたFakeTokenは、タクシー配車アプリを偽装し、感染端末から個人を特定できる情報（PII）を窃取する機能に加え、ランサムウェア機能まで持っていました。そして2020年に入り、カスペルスキーのリサーチャは、約5,000台のスマートフォンがSMSで海外へ迷惑メッセージを送信していたことを検知しました。そしてそれは、FakeTokenの新しい機能によるものであることが確認されました。

(さらに…)

変化を続けるマルウェア「EMOTET」の被害が国内でも拡大

メールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しています。EMOTETは2014年から存在が確認されているマルウェアですが、明確に国内利用者を狙ったと言える攻撃は確認されていませんでした。しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えられます。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていました。海外では一時、EMOTETのボットネットのC＆Cサーバが休止していたことが観測されていましたが、8月末に活動を再開したことが確認されました。トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加を確認しています。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと言えます。

図1：国内でのEMOTET検出台数推移

(さらに…)

Android端末向けバンキングトロジャン「Anubis」が再登場、17,000個以上の検体を確認

トレンドマイクロは、2018年のモバイルの脅威動向において、オンライン銀行詐欺ツール（バンキングトロジャン）が検出回避とさらなる収益化を目的として戦略と手法を多様化していることを報告しました。Android端末向け不正アプリ「Anubis」の場合、通常のバンキングトロジャンでは見られないようなその他の不正活動のための機能も備えています。初めてAnubisが確認されて以来、サイバー諜報活動を目的とした使用から、情報窃取とランサムウェアのような機能を組み合わせたバンキングマルウェアへの変化まで、Anubisにはいくつかの変更が施されました。2019年1月中旬には、サンドボックス解析を回避するためのモーションセンサの利用や個人情報（Personally Identifiable Information、PII）を窃取するオーバーレイ画面など、Anubisが多数の手法を使用したことが確認されました。
(さらに…)

「Trickbot」の新しい挙動を確認、リダイレクトURLにより検出を回避

トレンドマイクロは、スパムメールに記載されたリダイレクトURLを利用して拡散するバンキングトロジャン「Trickbot」の亜種（「TrojanSpy.Win32.TRICKBOT.THDEAI」として検出）を確認しました。この亜種は、「url?q=<不正なURL>」のようなクエリ文字列（URLパラメータ）を利用してユーザを不正なURLにリダイレクトします。そして、この特定の事例では、「hxxps://google[.]dm:443/url?q=<TrickbotのダウンロードURL>」のようにリダイレクト元のURLとしてGoogleが利用されました。正規URLからリダイレクトするこの手口は実際にスパムメールが届いた際、Trickbotをブロックする可能性のあるスパムフィルタを回避することに役立ちます。
(さらに…)

「EMOTET」運用の仕組み：異なる役割を持つインフラストラクチャを交互に使用

2014年に初めて確認された「EMOTET」は、追加モジュールによってさまざまな不正活動を行う機能によって現存するマルウェアの中で最も悪名高いものの1つとなっています。米コンピュータ緊急事態対策チーム（US-CERT）は、2018年7月、EMOTETによる被害の修復に州および地方政府は事例あたり最大100万ドル（2019年1月28日時点で約1億1,000万円）を費やしたとする注意喚起を公開しています。

EMOTETの活動とインフラストラクチャに関する2018年11月のブログ記事（英語）に続いて、本記事では「不正な文書ファイルを利用した拡散」と「実行ファイルのパックおよびデプロイ」を別々のインフラストラクチャが担う多層的な運用の仕組みについて解説します。

(さらに…)

機能追加を続ける「TrickBot」、POSシステムを狙う新しいモジュールについて解説

投稿日:2018年12月26日
脅威カテゴリ:不正プログラム
執筆:Trend Micro

トレンドマイクロは、「TrickBot」が、「販売時点情報管理（Point of Sales、POS）」システムを狙う新しいモジュールを追加したことを確認しました。TrickBotは元はシンプルなオンライン銀行詐欺ツール（バンキングトロジャン）でしたが、モジュールの追加によりさまざまな機能を追加してきたマルウェアです。最近では、2018年11月に、パスワード窃取モジュール「pwgrab32」が追加されたことを報告しました。本記事では、今回新たに確認されたPOSシステムを狙うモジュールについて解説します。この新モジュールは、感染PCが接続されたネットワークをスキャンし、POSに関連したサービスや機器を検索します。

(さらに…)

IQYファイルを利用するマルウェアスパム、日本のみを標的に 50 万通拡散

投稿日:2018年9月10日
脅威カテゴリ:メール, スパムメール
執筆:Trend Micro

トレンドマイクロは2018年8月上旬、Internet Query (IQY) ファイルを不正利用するマルウェアスパムの増加を確認し、8月8日のブログ記事にて速報いたしました。またその後の調査により、このマルウェアスパムが日本のみを標的としていたこと、そしてその活動内容が今年6月に検出されたリモートアクセスツール「FlawedAmmyy RAT」を送り込むマルウェア「NECURS」を拡散するスパムメール送信活動と類似していることを確認しました。サイバー犯罪者は構造ベースの検出方法を回避するため、一般的に単純なプレーンテキストの形式をとるIQY ファイルを利用しているように見受けられます。

今回の調査で、ボットネット「CUTWAIL 」から送信されるスパムメールにIQYファイルを悪用する手口が確認されました。このスパムメール送信活動は、特に日本のユーザを対象としており、「BEBLOH」（「TSPY_BEBLOH.YMNPV」として検出）あるいはURSNIF（TSPY_URSNIF.TIBAIDO）のいずれかのマルウェアを拡散しています。スパムメールは、「支払い」、「写真送付の件」、「写真添付」、または「ご確認ください」など、従来のソーシャルエンジニアリングの手法を利用して、ユーザが添付ファイルをクリックするように誘導します。このキャンペーン活動は2018年8月6日に検出され、同年8月9日には下火となりましたが、この期間内で約50万件のスパムメールの拡散が確認されました。

図1:2018年8月6日から10日に検出されたスパムメールの量
(さらに…)

バンキングトロジャンのメール経由拡散を支える「スパムボット」

本ブログの 7 月 3 日の記事ではオンライン銀行詐欺ツール（バンキングトロジャン）による日本国内におけるクレジットカード情報詐取被害の一端を、7 月 17 日の記事ではバンキングトロジャンの情報詐取活動を実現する Web インジェクションツールの存在について報告してまいりました。今回はバンキングトロジャンを拡散させる電子メールによる攻撃の状況とその攻撃メールの送信を行う「スパムボット」の存在について報告いたします。不正プログラム（マルウェア）を拡散させるための主な攻撃手法には、電子メール経由と Web 経由があります。電子メール経由の攻撃の中でも、不特定多数のインターネット利用者を狙い、マルウェア拡散を目的とするものを特に「マルウェアスパム」と呼びます。現在、日本のインターネット利用者を狙う日本語のマルウェアスパムのほとんどは、バンキングトロジャン「URSNIF」の拡散を目的としたものであることがわかっています。このことから、バンキングトロジャンは日本国内を狙うメール経由の攻撃で最も多い脅威と言えます。

(さらに…)

Page 1 of 212